De daders zijn er in geslaagd om in te breken bij Asus (of een toeleverancier) waardoor ze toegang kregen tot de Asus Live Update tool. Dat wil zeggen dat ze via dat achterpoortje hun eigen malware naar Asus-toestellen konden sturen via het reguliere updateproces van Asus. Die updates waren ook digitaal ondertekend alsof ze van Asus kwamen.

Het probleem, dat de naam Operation ShadowHammer meekrijgt, werd ontdekt door Kaspersky en gemeld door Motherboard. Het Russische beveiligingsbedrijf vermoedt dat ongeveer een half miljoen toestellen zijn getroffen tussen juni en november vorig jaar. Asus heeft wereldwijd een marktaandeel van ongeveer 6 procent.

Wat het verhaal vreemder maakt is dat het nog steeds onduidelijk is wat de uitgestuurde malware precies doet. Kaspersky weet dat via de update werd gescand naar het MAC-adres van het toestel. Dat is een uniek identificatienummer van een computer. Daarbij werd specifiek gezocht naar een lijst van 600 MAC-adressen. Dat doet vermoeden dat de daders zeer specifieke toestellen (of hun eigenaars) voor ogen hebben, maar daarom wel alle Asus-klanten moesten infecteren om de toestellen te vinden.

Hoe ontdek ik of mijn MAC-adres op de lijst staat?

Kaspersky heeft intussen ook een tool vrijgegeven die controleert of je Asus-toestel de bewuste malware bevat. Deze kan je hier downloaden. Het bedrijf laat je ook nagaan of je MAC-adres op de lijst van 600 adressen staat. Dat kan via Shadowhammer.kaspersky.com.

Je MAC-adres kan je vinden door in Windows 10 of Windows 8 en 8.1 via de zoekfunctie 'cmd' in te vullen waarbij het Command Prompt opstart. In Windows 7 kan dat door op start te klikken en daar 'cmd' in het dialoogvenster in te tikken.

In het Command Prompt tik je 'ipconfig /all'. Hierbij krijg je een hele hoop gegevens te zien, maar je moet op zoek gaan naar 'Physical Address', dat is een zesdelige hexadecimale code (bijvoorbeeld A0-11-D7-88-F6-64).